au sommaire
Virus Blaster : l'attaque contre Microsoft déjouée mais le ver continue à se répandre
En exploitant une faille de Windows annoncée le mois dernier, Blaster infecte les PC sans aucune intervention de l'utilisateur. Une fois sur place, il comptait utiliser l'ordinateur des ses victimes afin de mener une attaque par déni de service contre le site de mise à jour de MicrosoftMicrosoft. Un porteporte-parole de la firme de Redmond a indiqué que le site de l'entreprise n'avait connu aucun problème lié au ver. Microsoft avait précédemment annoncé avoir protégé son réseau en supprimant la page de son site visée par le virus.
Blaster ou le virus invisible
Blaster étant un vrai ver (et non un virus), toute cette opération est invisible pour l'utilisateur du PC. Il n'y a aucun email piégé à recevoir, aucun fichier infecté à exécuter. Tout se passe via le réseau, tandis que l'ordinateur est connecté à Internet comme à son habitude, et que son utilisateur continue à surfer sans constater de ralentissement particulier. Seul symptômesymptôme éventuel : un bugbug dans le code de Blaster peut lui faire mélanger Windows 2000 et XP, et ainsi faire redémarrer l'un en pensant infecter l'autre. Mais pour la majorité des victimes du ver, l'attaque est totalement invisible.
Les infections continuent
Bien que l'attaque ait échoué, le ver continuera à se répandre jusqu'à ce que la faille de Windows exploitée par Blaster soit corrigée. Depuis son apparition ce n'est pas moins de 400 000 machines qui ont été contaminées, selon les estimations de Symantec. Des variantes de Blaster commenceraient à se multiplier, la plus connue remplacerait le fichier "blaster.exe" (utilisé comme identifiant du virus) par le fichier "teekids.exe" qui ajouterait dans la base des registres, au même endroit que blaster, une clé baptisée "Microsoft Inet Xp".
De plus, deux nouvelles versions du virus ont été repérées, dont l'une installe un "cheval de Troie" ou "backdoorbackdoor", une "porte arrière" permettant à un intrus de prendre le contrôle de l'ordinateur infecté. Microsoft propose sur son site un correctif logiciellogiciel pour la faille de sécurité affectant Windows XPWindows XP et Windows 2000, ainsi que Windows NT et Windows Server 2003, versions que le ver attaque mais ne contamine pas.
Microsoft a prévenu qu'un message électronique actuellement en circulation proposait un prétendu correctif contre Blaster, mais installait en fait un "cheval de Troie". Microsoft a rappelé qu'il ne distribue jamais de logiciel par courrier électronique.
Comment se protéger ?
Les PC victimes de Blaster ne risquent cependant pas grand chose eux-même : le ver ne détruit rien, et seul le bug ci-dessus peut, au pire des cas, forcer le PC à redémarrer de façon périodique.
Pour se protéger de Blaster, il est nécessaire d'appliquer le correctif publié par Microsoft. Il est aussi utile de fermer les ports 135 et consorts (137, 139, 445...), qui ne sont utilisés que par Netbios et n'ont aucune raison d'être accessibles depuis Internet. C'est ce que fait n'importe quel pare-feupare-feu (même personnel) correctement configuré.
Voici pour rappel la manière d'éradiquer Blaster :
- Installer ce patch Microsoft.
- Verifier si "msblast.exe" est présent dans la liste de processus (faire CTRL+ALT+Supp, se rendre dans l'onglet processus).
- S'il est présent le sélectionner et faire "terminer le processus".
- Vérifier la présence du fichier msblast.exe dans le répertoire "/windows/system 32" et le supprimer.
- Le supprimer du cache de Windows (dans le répertoire /windows/prefetch).
- Penser également, dans Windows XP à le supprimer des points de sauvegardesauvegarde (C:System VolumeVolume Information).
- Lancez Regedit (démarrer, exécuter, tapez regedit
- Se rendre dans HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun) et supprimer la clé "windows auto update=msblast.exe".
Les firmes Symantec et Panda Anti-Virus ont également mis en ligne des utilitairesutilitaires pour éradiquer blaster. Vous les trouverez ici et là.
- Dossier à découvrir :
